web-dev-qa-db-ja.com

HTMLパスワードフィールドには、XHR / AJAXの持ち出しに対する保護が含まれていますか?

HTMLで特定のフィールドをパスワードフィールドとして説明する場合、XHR/AJAX /類似のテクノロジーを介してデータを送信しないように何らかの方法で保護されていますか?

これは、スクリプトインジェクションや同様の攻撃に対処する必要がある場合に関係します。

this 質問によると、保護はクライアント側で行われ、パスワードの物理的な表示に対してのみ保護されますが、それは正しいですか?情報の欠如から判断するのは難しく、それは盲目的な仮定にすぎません。

PSこの質問は、ブラウザにローカルに保存されているパスワードとは関係ありません。

1
Sir Muffington

HTMLでtype = "password"を使用するonlyは、画面に入力された文字を覆い隠すことにより、ショルダーサーフィンを防ぎます。実際のパスワードは、ドキュメントオブジェクトモデルにアクセスできるすべてのコードで使用でき、TLS接続がない場合は、クリアテキストでサーバーに送信されます。

質問とは直接関係はありませんが、「クライアント側の暗号化」は役に立たないと付け加えなければなりません。 「暗号化された」値はDOMを介して利用でき、サーバーに関する限り、そのisパスワードです。

2
Bob Brown